17, 19 en 20. Dit zijn de leeftijden van de verdachten van zowel de recente Kido-kwekerijaanval als de aanslagen in april, waardoor de Britse retailers Marks & Spencer en The Co-operative met verminderde diensten en miljoenen ponden minder te maken kregen.
Dezelfde bende die de verantwoordelijkheid voor de M&S-hack opeiste, richtte zich in augustus ook op Jaguar Land Rover, waardoor de wereldwijde productie werd stopgezet en duizenden mensen werden getroffen. bedrijven die afhankelijk zijn van de verkoop aan JLR om hun eigen producten te onderhouden medewerkers.
Verantwoordelijk voor de internationale bedrijfsontwikkeling en verkoop van de IB Groep.
In het verleden werden dergelijke aanvallen op industriële reuzen grotendeels uitgevoerd door door de staat gesponsorde hackers uit landen als Rusland of Noord-Korea. Maar de overgrote meerderheid van de verdachten die zijn geïdentificeerd bij recente spraakmakende cyberaanvallen hebben twee dingen gemeen: ze spreken Engels en zijn jong.
In een tijd waarin onze jongere generaties worden geconfronteerd met de keuze tussen het ten goede of ten kwade inzetten van vaardigheden, is het van cruciaal belang hen te oriënteren op een carrière in de arbeidswereld. IT-beveiliging industrie.
Waar leren jongeren hacken?
De plotselinge toename van cybercriminaliteit onder jongeren kan duiden op een toename van het aantal jongeren dat leert hacken, maar er is nog een andere reden: de toenemende toegankelijkheid van computerdiensten. ransomwareverspreid door een groeiend aantal Ransomware-as-a-Service (RaaS)-providers.
RaaS-groepen leveren de programma’s die affiliates (zoals de tieners die zijn gearresteerd bij de M&S- en Co-op-hacks) vervolgens gebruiken om zich op specifieke bedrijven te richten.
Met partnerprogramma’s kunnen aspirant-hackers gemakkelijk toegang krijgen tot de infrastructuur die nodig is om de infrastructuur van een organisatie te doorbreken veiligheid maatregelen, wat betekent dat het niet per se zeer bekwame hackers hoeven te zijn.
In ruil voor het gebruik van zijn platform krijgt de RaaS-groep een deel van de winst uit de aanval op de getroffen bedrijven. In de meeste gevallen gaat het om losgeld, betaald om de coderingssleutel te herstellen die de gestolen gegevens kan ontcijferen en de publicatie ervan op internet kan voorkomen.
Wat drijft jongeren richting cybercriminaliteit?
Hacken wordt dus steeds toegankelijker. Maar waarom trekt het steeds meer jonge mensen aan?
Fergus Hay, medeoprichter van het cybervaardighedeninitiatief voor jongeren, The Hacking Games, sprak onlangs op de Masked Actors-podcast van Group-IB over de gemeenschappelijke motivaties van jonge cybercriminelen. Hij vatte ze samen als: “De Vier F’s”: roem, frustratie, financiën en vrienden.
Spraakmakende cyberaanvallen doen al het bovenstaande: ze bieden hun daders erkenning, een uitlaatklep voor groeiende ontevredenheid en potentieel zeer grote compensaties van organisaties die toegeven aan losgeldeisen.
Wat het gemeenschapsaspect betreft, suggereert Fergus dat dit zijn wortels heeft in online gaminggemeenschappen, waar veel jonge mensen voor het eerst kennismaken met ‘hacken’. In games heb je een live lab voor testen, hacken, modden, games breken, elkaar doxxen en targeting-bots maken.
Door al dit experimenteren ontwikkelen ze hun vaardigheden en worden ze voortdurend beloond met XP-punten, promoties en wedstrijden.
In gaminggemeenschappen wordt hacken daarom niet alleen aangemoedigd, maar ook gelegitimeerd.
Een andere mogelijke oorzaak ligt in de manier waarop IT-talent historisch gezien is aangetrokken en ontwikkeld. Traditionele rekrutering is vaak gericht op formeel onderwijs en opleiding, terwijl autodidactische en begaafde individuen die dit conventionele pad niet volgen over het hoofd worden gezien.
Fergus wijst er ook op dat de overgrote meerderheid van IT-talent neurodivers is, wat traditionele rekruteringsroutes nog ontoegankelijker zou kunnen maken.
Nu legitieme carrièrepaden schijnbaar buiten bereik lijken, zijn getalenteerde individuen met sterke cybervaardigheden – en de kennis van wat die vaardigheden zouden kunnen opleveren als ze illegaal worden gebruikt – belangrijke doelwitten voor rekrutering door cybercriminele organisaties.
Imagoprobleem van ethische cyberveiligheid
Het tekort aan cyberbeveiligingsvaardigheden is geen nieuw probleem. In september van dit jaar publiceerde de Britse regering een onderzoek waaruit bleek dat bijna de helft van alle Britse bedrijven kampt met een ‘core skills gap’.
De drie belangrijkste hiaten in IT-vaardigheden lagen op het gebied van ‘auditing en zekerheid’, ‘digitaal forensisch onderzoek’ en ‘encryptie en communicatiebeveiliging’.
Dit zijn gebieden waar jong talent zou kunnen gedijen. Hoewel het tekort aan talent sinds vorig jaar kleiner is geworden, is er nog een lange weg te gaan.
Een mogelijke reden is de perceptie van cyberveiligheidsrollen onder jongeren; ze worden gezien als saai of overdreven technisch, en missen de glamour en glamour van clandestien crimineel werk. Vergelijk de popcultuurbeelden van een mysterieuze elite-hacker maar eens met die van een IT-professional die in de kelder van een bedrijf rondspookt.
Dit imagoprobleem heeft reële gevolgen. Zonder opkomend digitaal talent ervan te overtuigen dat cyberbeveiliging een levensvatbare en wenselijke carrière is, zal de sector vaardigheden blijven verliezen aan meer ‘spannende’ omgevingen.
Waar gaan we heen vanaf hier?
Om de toename van cybercriminaliteit onder jongeren tegen te gaan, moet de industrie meer doen dan alleen de veiligheidsgrenzen versterken. We moeten eerst de sociale factoren aanpakken die jongeren richting misdaad drijven.
Het imago van cybersecurity moet veranderen om nieuw talent aan te trekken voor legitieme carrièrepaden, maar dat geldt ook voor het imago van een goede aanstelling.
Organisaties moeten hun wervingsbeleid herzien en opnieuw definiëren wat goed aannemen betekent. Het is tijd om opnieuw na te denken over de manier waarop de industrie omgaat met potentieel talent en hen te bereiken waar ze hun tijd doorbrengen, of het nu in een gamingomgeving is of op Discord server.
Bovendien moeten we verder kijken dan traditioneel geaccepteerde kandidaten om de kloof in vaardigheden te dichten en ook mensen buiten het hoger onderwijssysteem en in neurodiverse gemeenschappen te bereiken, met mogelijkheden om vaardigheden te ontwikkelen en carrièrepaden te identificeren.
Recente gevallen hebben op overweldigende wijze aangetoond dat jonge mensen in Groot-Brittannië en elders over de IT-vaardigheden beschikken die nodig zijn om een groot verschil te maken, zowel als last als als troef. Nu is het aan de industrie om aan te tonen dat er legitieme ruimtes zijn waar hun talent gewaardeerd zal worden, voordat ze naar RaaS-prikborden gaan.
Je kunt naar de volledige aflevering Van Joysticks tot Jailbreaks luisteren, waar je ook je podcasts vandaan haalt. Zoek eenvoudigweg naar “Gemaskerde acteurs”.
We hebben de beste encryptiesoftware gepresenteerd.
Dit artikel is geproduceerd als onderdeel van TechRadarPro’s Expert Insights-kanaal, waar we de beste en slimste koppen op het gebied van technologie van vandaag presenteren. De hierin uitgedrukte meningen zijn die van de auteur en zijn niet noodzakelijkerwijs die van TechRadarPro of Future plc. Als u geïnteresseerd bent om een bijdrage te leveren, kunt u hier meer informatie vinden: https://www.techradar.com/news/submit-your-story-to-techradar-pro
